Bien que tous les systèmes d’exploitation soient vulnérables, la position dominante de Windows en fait la cible privilégiée des attaquants. WanaCry et Petya exploitent les failles de l’OS de Microsoft non corrigées et les brèches des politiques de sécurité des organisations.
La récente attaque par le malware Petya montre que la tâche des responsables de systèmes informatiques est lourde face à des modes de propagation en constante mutation, malgré des mises à jour de Windows indispensables.
Le malware Petya exploite, comme WanaCry qui a sévi au mois de mai, la brèche SMB (Service Message). Il s’agit d’un protocole de Windows utilisé pour le partage de fichiers réseau qui permet à des applications installées sur un ordinateur d’accéder en lecture et en écriture à des fichiers et de solliciter des services. Dès le 14 mars 2017, Microsoft avait mis un correctif à disposition des particuliers et entreprises. Le 14 juin, la firme avait corrigé 94 vulnérabilités, dont 27 résolvent des problèmes d’exécution de code à distance permettant aux attaquants de contrôler depuis le réseau les machines ciblées.
Petya exploite aussi les services PsExec (qui intègre des commandes exécutables sur des machines distantes) et WMIC (un outil de gestion de données à partir d’ordinateurs distants en mode commande). Les ordinateurs attaqués par Petya ne redémarrent plus, car le malware remplace le MBR (Master Boot Record), un secteur du disque système dont le rôle est de charger Windows. Et il chiffre la MFT (Master File Table) qui contient tous les fichiers du disque système.
Des failles concernant l’OS, mais aussi les plug-ins et les applications
La mise à jour de Windows est essentielle, mais doit s’accompagner de la correction des failles présentes dans les plug-ins des navigateurs web et dans les logiciels de la suite Office comme Outlook. Désormais, une majorité d’utilisateurs professionnels est informée du risque à cliquer sur une pièce attachée, susceptible de contenir un logiciel de ransomware, bien que certains attaquants ciblent leurs victimes en se faisant passer pour des interlocuteurs légitimes. La porte d’entrée des attaques est aussi le navigateur web via les plug-ins Flash ou Acrobat Reader, du code JavaScript ou HTML5. En cliquant sur un site web contenant par exemple des films piratés ou des clés d’enregistrement illicites de logiciels, l’internaute charge à son insu un Web exploit Kit qui infecte la machine utilisée.
Mettre à jour un parc de centaines de machines prend certes du temps, mais les pertes d’exploitation sont dans tous les cas bien inférieures au coût des dommages subis à cause de WanaCry ou Petya. Même s’il existe des sauvegardes récentes permettant rapidement la reprise d’activité, cela suppose des atteintes à l’image des entreprises et institutions, une rupture de service pour les clients et usagers. En bref, une mobilisation conséquente des services informatiques qui doivent par la suite mettre en place les correctifs fournis par les éditeurs de logiciels et revoir la politique de sécurité. Pour ce dernier point, il s’agit de limiter l’élévation des privilèges d’accès aux fichiers système de chaque poste.
Au final, ces attaques massives doivent être considérées comme une piqure de rappel afin d’éviter des dommages plus importants concernant les réseaux d’énergie, les transports ou la santé.
